- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Первая атака в мае 2022 года опиралась на уязвимости программного обеспечения для сертификации, которое широко используется в государственных учреждениях и университетах Южной Кореи. Последняя атака произошла в октябре 2022 года и использовала уязвимость нулевого дня в той же самой программе для сертификации.
ASEC намеренно не называет программное обеспечения из-за того, что «уязвимость ещё не была полностью протестирована, а исправление пока не было выпущено».
Хакеры Lazarus злоупотребили уязвимостью нулевого дня для выполнения бокового перемещения, вскоре после чего антивирусное ПО предприятия было отключено с помощью BYOVD-атаки. Атака проложила путь для нескольких бэкдоров (keys.dat и settings.vwx), предназначенных для подключения к удаленному C2-серверу для извлечения дополнительных двоичных файлов и их выполнения. В конечном итоге, полученная последняя нагрузка открывала хакерам множество путей для взаимодействия со скомпрометированными машинами.
«Lazarus Group исследует уязвимости различного программного обеспечения и постоянно меняет свои тактики и методы. Группа ищет новые способы отключения антивирусных решений и применяет методы защиты от судебной экспертизы. Таким образом Lazarus пытается затруднить обнаружение и анализ вредоносного ПО, чтобы и дальше скрытно проникать в южнокорейские учреждения и компании», — заявили специалисты ASEC.